Multi-Stage Knowledge-Distilled VGAE and GAT for Robust Controller-Area-Network Intrusion Detection
2508.04845v1
cs.LG, cs.AI
2025-08-09
Авторы:
Robert Frenken, Sidra Ghayour Bhatti, Hanqin Zhang, Qadeer Ahmed
Резюме на русском
## КОНТЕКСТ И ПРОБЛЕМАТИКА
Контроллер Area Network (CAN) является широко используемым протоколом для взаимодействия внутри автомобилей, обеспечивая надежную передачу данных между электронными компьютерными системами. Однако, несмотря на его эффективность, CAN открыт для кибер-атак из-за отсутствия встроенных механизмов безопасности. Это делает автомобили уязвимыми к несанкционному вмешательству, что может привести к серьезным последствиям, включая потерю контроля над автомобилем. Интрусивное обнаружение (Intrusion Detection System, IDS) является ключевым решением для обеспечения безопасности CAN. Однако, существующие методы IDS для CAN-трафика сталкиваются с несколькими проблемами, включая классическую несбалансированность данных (class imbalance), высокую сложность моделей, и ограниченную эффективность в реальных условиях.
Основным вызовом является разработка методологии, которая может эффективно обнаруживать аномалии и кибер-атаки в CAN-трафике, особенно когда данные характеризуются высокой несбалансированностью классов. Традиционные методы, основанные на статистических моделях или машинном обучении, часто не справляются с этими вызовами из-за недостатка мощности модели или недостаточного учета временных и структурных зависимостей в данных.
Предлагаемая статья предлагает инновационный подход, который сочетает неконтролируемые методы обнаружения аномалий (unsupervised anomaly detection) и контролируемые графовые модели обучения (supervised graph learning) для улучшения точности и эффективности обнаружения атак в CAN-протоколе. Этот подход использует графовые модели для моделирования временных и структурных отношений между сообщениями CAN, что позволяет более точно определять аномалии и атаки.
## ПРЕДЛОЖЕННЫЙ МЕТОД
Предлагаемая система интрусивного обнаружения основывается на многоступенчатой архитектуре, которая интегрирует Variational Graph Autoencoder (VGAE) и Knowledge-Distilled Graph Attention Network (KD-GAT). Эта система разработана специально для обнаружения аномалий и кибер-атак в трафике CAN.
Первым этапом является представление CAN-трафика в виде последовательностей графов, где узлы графа представляют отправителей и получателей сообщений, а ребра обозначают взаимодействия между ними. Это позволяет моделировать временные и структурные зависимости между сообщениями, что критически важно для обнаружения атак.
Затем, VGAE используется для выявления структурных аномалий в графовой структуре. VGAE обучается на графовой представлении CAN-трафика для выявления необычных или подозрительных структур, которые могут указывать на атаку. Для решения проблемы классовой несбалансированности, VGAE также применяется для селективного undersampling, что помогает сократить количество данных без потери информации.
На последующем этапе, Gra
Abstract
The Controller Area Network (CAN) protocol is a standard for in-vehicle
communication but remains susceptible to cyber-attacks due to its lack of
built-in security. This paper presents a multi-stage intrusion detection
framework leveraging unsupervised anomaly detection and supervised graph
learning tailored for automotive CAN traffic. Our architecture combines a
Variational Graph Autoencoder (VGAE) for structural anomaly detection with a
Knowledge-Distilled Graph Attention Network (KD-GAT) for robust attack
classification. CAN bus activity is encoded as graph sequences to model
temporal and relational dependencies. The pipeline applies VGAE-based selective
undersampling to address class imbalance, followed by GAT classification with
optional score-level fusion. The compact student GAT achieves 96% parameter
reduction compared to the teacher model while maintaining strong predictive
performance. Experiments on six public CAN intrusion datasets--Car-Hacking,
Car-Survival, and can-train-and-test--demonstrate competitive accuracy and
efficiency, with average improvements of 16.2% in F1-score over existing
methods, particularly excelling on highly imbalanced datasets with up to 55%
F1-score improvements.
Ссылки и действия
Дополнительные ресурсы: